1. 个人信息与个人隐私、个人数据

“个人隐私”、“个人数据”两种说法经常与“个人信息”混同使用。形式上来说，由于各地区不同的法律传统与习惯，其中使用“个人数据”最多的地区是欧盟以及受其个人数据法体系影响较大的国家；使用“个人隐私”概念比较多的是美国、澳大利亚等受美国隐私权立法体系影响较大的国家；在日本、韩国等地区则更多使用“个人信息”概念 [1] 。实质上来说，三者相互联系又互相区别。

1.1. 个人信息与个人隐私

个人信息与个人隐私在内容范围、保护缘由及救济手段上存有区分。首先，两者在内容上存在交叉融合的部分，又有各自独立的部分。个人信息的一部分涉及个人的私生活安宁与秘密的部分构成个人隐私，个人隐私中需要一定范围内公开的部分构成个人信息；其次，从保护缘由上看，保护个人隐私的民法制度将其作为一种人格权加以保护，强调的是对个人的人格尊严和人格自由利益的保护 [2] 。进入大数据时代以来，个人信息成为了产生利益的重要基础资源，滥用个人信息损害人格权，禁用个人信息又会阻碍经济社会的发展，所以对个人信息的立法保护开始强调两方面内容，即人格权的保护与个人信息资源的充分利用；最后从救济手段上看，个人信息相对个人隐私，财产方面的属性更加突出。立法者保护个体对个人信息的自决与控制，可以从事先预防与事后救济的双重角度考虑其救济方式；个人隐私的保护更注重人身属性，保护个人隐私不予公开的权益，是一种消极防御的权利，适合采取事后救济的方式。

1.2. 个人信息与个人数据

个人数据与个人信息在内容、范围、性质方面存在差异。首先，在内容上，数据(Data)在牛津词典中的表述为“供参考和分析的事实或者统计数值”，而信息(Information)表述为“事物的特定排列或顺序所传达或表示的内容”。通过对数据进行排序或者整理，在经过人为或者机械的解读，进而产生信息。其次，两者在范围上存在交叉的关系。个人信息是通过个人主观上对个人数据这种客观事物的加工处理而获得的一种有价值性的资料。个人数据并非都需要加工处理才能成为个人信息。个人数据中的一部分直接能够当作个人信息使用，一部分个人数据经过加工处理成为个人信息，还有一些个人数据因具有普遍性的特点不成为个人信息，前两部分个人数据是否能成为个人信息要取决于个人的主观性认识 [3] 。另外个人信息也并非都是直接来自于个人数据，比如私人网络的IP地址具有数字化传播，可识别性和具有价值性的个人信息特征，但其来自于第三方的分配，所以两者范围始终不能重合，各自带有自己的独立范围。最后，在性质上，两者兼具人身和财产属性，但个人数据无成本的产生于自然人本身，因此该数据与个人自身不能分离，具有更强的人身属性，而个人信息侧重脱离个人主体流转，由他人主观的去处理来创造价值，这个过程可能会付出成本代价，所以该数据具有更强的财产性。

2. 个人信息权利作为宪法基本权利的争论

目前理论界对于个人信息权利的性质主要有基本权利说、所有权说、隐私权说、一般人格权说以及具体人格权等看法。笔者认为，个人信息权利应作为一项基本权利进行保护。

2.1. 基本权利说

基本权利说主张个人信息权的性质属于宪法上的基本权利。德国的“信息自决权”即是通过对德国基本法条文的解释得出，德国联邦宪法法院将该权利的依据定位于1949年颁布的《联邦德国基本法》第一条“人性尊严”与第二条第一款“人人享有个性自由发展的权利”，这两条被称为德国基本法的一般人格权条款。德国宪法秩序的保护重点是作为自由社会成员从事自由自决的工作的价值和尊严，除了保护宪法规定的特别自由权利外，对基本法规定的一般人格权也给予保护¹。“信息自决权”并未直接列举在联邦德国宪法中的，是通过对一般人权条款的论证推导出属于社会成员的基本权利。欧盟于2016年颁布的《通用数据保护指令》(GDPR)第(2)条将个人数据保护的权利置入自然人的基本权利与自由保护当中，也体现了对基本权利说的支持²。

2.2. 赞成：个人信息权利应作为宪法基本权利

有学者认为“个人信息保护法律体系应以法律权利为概念基础，而且是作为一种宪法上的基本权利来进行保护。” [4] 权利的宪法化代表了人们对于法治社会的热切向往与追求，企图通过将权力纳入法律(宪法)以寻求自身权益的保障，即“权利的享有始于法律的明确肯定” [5] 。这种只有将权利纳入到法律(宪法)中才能获得实际保障的看法有其“人权三分说”的支持 [6] 。具体来说，“应有人权”只有被法制容纳，成为“法定人权”，立法者才会考虑运用法律手段使之得到充分保障。该学说适用在个人信息领域，其逻辑在于个人信息权利是个人应有的权利，我们需要明确将它写入法律之中，才能使个人信息权利真正成为受法律保护的权利。

2.3. 反对：个人信息权利不应作为成为宪法基本权利

权利的宪法化可以极大的保护大数据时代下新兴的个人信息保护问题，但是宪法作为国家根本大法，频繁的加以修改不利于宪法权威的维护。再者，将个人信息保护权列明到宪法基本权利的中，需要国家依据宪法义务对其消极不侵犯与积极保护，引导国家作出一系列立法、执法、司法等各方面改革。这样做的话，一是会扩大政府的权力范围以实现国家积极保护个人信息与保障个人信息主体实现收益的权利，继而挑战现有“有限政府”原则。二是会限制司法机关的审议范围，可能造成国家对个人信息的消极不侵犯。三是我们不能试图去明确某项宪法权利的边界，比如我国宪法第33条第3款规定：“国家尊重和保障人权。”人权的特征会随着社会发展而不断变化，其特征恰恰是不能完全明确的列举。我国宪法如果为个人信息权利打开修宪的大门，以后各种更为具体的权利入宪的要求会接踵而来。

3. 《宪法》存有未列明的基本权利

3.1. 《宪法》保护未列明的基本权利

我国《宪法》公民基本权利与义务一章中并未规定个人信息权利作为一项基本权利，那未列明的权利能否成为或者解释成一项宪法的基本权利呢？答案是肯定的。

首先，我们思考我国《宪法》为什么要列举一部分权利呢？列举的基本权利是在人类历史发展中关于基本人权序列中的最重要的一部分，是我们人民基于人格尊严所理所应当享受的，是宪法的精神所决定的。对国家来说，这是其社会成员应当享有的必不可少的权利。

其次，《宪法》列举基本权利的初衷绝对不应该是“宪法没有明确列举该权利，公民就不享有该项权利”的意思。汉密尔顿在《联邦党人文集》中表示，实在没有必要去禁止政府本就无权去做的事情，权利法案对于宪法草案来说是有害的 [7] 。人权的范围会随着社会经济的发展不断扩大范围，各项权利保护的水准也会随着分配制度完善和国家机关运作制度更新相应的提高。我们赋予政府等国家机关保护我们的所列明基本人权的资格，不是希望它们成为反向约束我们基本权利发展的力量，而是希望它们利用公共权力更好地保障我们现有列明的基本权利。虽然说美国还是通过了权利法案，这其实是联邦党人对人民的一种妥协，人民还是更向往一种“纸上的权利”。联邦党人为了宪法的顺利通过，也是为了保证“有限政府”原则的落实，防止出现公权力的“利维坦”，最后还补充了宪法第九修正案的规定：“本宪法对某些权利的列举，不得解释为否定或者轻视人民保有的其他权利。”这种兜底性的条款给了人民基本权利的“留白”，符合人民的意愿又限制了政府的权力。

最后，大数据时代的发展使得个人信息保护成为了立法保护领域的一项难题。法律有其固有的滞后性，任何国家在制定自己国家的宪法时，都会限制于当时政治、经济与文化条件，无法预知之后产生的所有公民基本权利类型，自然也无法将所有基本权利加以列明。我国学者也对宪法上存在未列明的基本权利加以肯认 [8] 。基本权利因来自于人的尊严与自由的性质而享有国家积极保护与消极不侵犯的性质，同时本人也应享有获得收益的权利。基本权利不因其没有列明到宪法文本上而不受宪法的保护。不过，也应指出宪法未列举的权利需要一种标准加以识别的进行保护，否则未列明的权力出现太多，将有损宪法的权威。

3.2. 未列举的基本权利识别标准

关于未列举基本权利的识别标准，学界并未形成统一的答案。回答这个问题之前要考虑到我国宪法所列举的这些基本权利的依据是什么。有学者认为基本权利的内涵，“主要是指每个人基于其作为人或特定国家的社会成员而享有的最起码权利。” [9] 我国宪法对基本权利的确立持一种“最低限度”态度，而“最低限度”的标准就是公民享有的自由权与生存权；有学者认为基本权利最初的形态可能只是一种道德准则或者价值宣示，不具有法律上的效力，之后这些权利慢慢发展，成为了具有可请求性质的权利 [10] ；《宪法》列举的基本权利是当今社会发展背景下，公民可以享受到的应有的、最起码的权利。

又该如何认定未列举基本权利的标准呢？主要在于该项基本权利是否成为当下社会发展中公民需要的“最低限度”的权利。就如有学者所言，判断宪法中未列明的权利需要主观上社会大众基于国家发展现状对该权利产生了足够的需求，客观上该权利是否已经被国际上的人权法律所承认 [11] ；类似观点还有：未列举的权利应该符合人生存和发展的“最低限度的标准”，即公民的自由权与小部分社会权 [12] 。未列举权利认定方法应与我国社会基本情况相适应，参考德国“人的尊严”认定方法，引入民主理论为基础进行建立和完善 [13] 。

我国《宪法》中未列明的基本权利认定应有三条标准。第一，应该是我国社会成员生存和发展的“最基本的权利”，即生存权、自由权和部分社会权。部分社会权如要求国家提供交通、教育设施的权利，要求国家推进卫生事业发展的权利，也是我们追求幸福的权利；第二，“人权”是人之为人、基于人性尊严而拥有的权利，那么人权的主体和内容会随着不同时代人的形象而变化 [14] 。未列明基本权利要符合我国社会主义初级阶段的基本国情，在与社会经济发展水平与国家政策相适应的情况下确定该权利是否应当保护以及受保护的范围与水准。第三，全球化背景下，未列举权利应属于国际上普遍需要保护的人权之列。

4. 个人信息权利是《宪法》基本权利的证成

4.1. 个人信息权利是“最基本的社会权”

个人信息保护权属于自由权还是社会权？这是我们推到的前提条件。有学者认为基本人权的自由权与社会权分类是相对的，我们有必要对个别的问题对基本权利的性质做“柔软地思考” [15] 。自由权是在资本主义早期社会伴随宪法出现最开始的概念，要求国家做好“守夜人”角色，以不侵犯公民基本权利为最终目的。十九世纪中后期随着资本主义的高度发展，社会出现一些贫困、失业与资源争夺的不稳定因素。二十世纪初期，在世界范围内民主代议制摧毁君主专制的背景下，社会上的弱者要求国家作为的保护其给予人格尊严享有的基本权利，即形成了要求国家积极保护的社会权。就个人信息保护权而言，其产生于互联网广泛使用带来的大数据时期，属于社会高度发展下带来的新兴权利。另外，目前针对国家机关或者各类私权利主体收集、处理与应用个人信息的行为目前采用一种知情同意制机制，传统的知情同意制面临隐私保护效率低下；用户权利如同虚设；阻碍企业数据流通及应用等弊端 [16] 。个人信息保护权的出现更多强调公民需要国家去做出规范个人信息的收集、处理与应用主体的行为，以保护当前现状下公民的基本权利，应属于一种“最基本的社会权”。

4.2. 个人信息权利是维护“人的尊严”的必然要求

个人信息保护权要解释成我国的宪法中的基本权利，我们应该明确宪法基本权利的核心秩序是人的尊严 [17] 。人固有的享有一定必要的权利，乃是为了确保其自由与生存，维护其之尊严性，即人权的根据是人的尊严性。那究竟怎么理解作人的尊严？人的尊严是一个抽象的概念。关于其内涵，马克思与恩格斯曾经给出经典的观点“个人是什么样的，这取决于他们进行生产的物质条件。” [18] 我国古代也有类似的观点，管仲所言“仓廪实而知礼节，衣食足而知荣辱。”即是此意。简单来说，随着社会不断发展，人要活的像人，人要成为“目的”而非“手段”。公民作为构成社会的具有自律性质的一份子，享有最低限度的自由权利，并按照当前社会的发展享有一定部分的社会权利。当下社会随着大数据时代的来临，传统的隐私权已经无法妥善的涵盖和保护公民的个人信息，公权力主体与私权力主体采用基于互联网的各种新型方法收集、处理公民的个人信息，存在滥用公民个人信息的风险。在此情况下，公民自然的拥有个人信息权利就是对公民尊严的保护。正如有学者所言，个人信息保护的基本目的就是为了保护人的尊严 [19] 。

4.3. 个人信息权利可从《宪法》具体条款中推导

宪法列举权利是为了展示人格权中最基本的权利，并不是穷尽所有基本权利的类型。我国宪法第33条第3款规定“国家尊重和保障人权”，该项人权条款意味着对于那些《宪法》上没有作出明确规定但却非常重要的人权，也必须给予同样的保护。该项人权条款是我国宪法人权体系的进一步完善，也为新型社会出现的未列举的权利提供了规范依据。个人信息保护权作为大数据时代新兴之权利，是我们追求幸福权利的一部分，国家应该予以尊重和保障。同时，我国《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”该项人格尊严条款前半段与《联邦德国基本法》第1条表述的“人格尊严”条款类似，表达了一种基础性的宪法原理价值。加上后半段的话，对前半段也可理解为具有宪法上“一般人格权”的概念。个人信息保护权符合人格尊严这一核心秩序，再借鉴德国将“信息自决权”定位到德国基本法的一般人格权条款的域外经验，可以将《宪法》第38条作为个人信息权利的前置推导条款。另考虑个人信息与个人隐私在内容范围上有重合部分，《宪法》第35条言论自由条款、第36条宗教信仰自由条款与39条住宅自由条款亦可作为个人信息权利作为《宪法》基本权利的推导辅助条款。

NOTES

¹BVerfGE54, 148(155).

²《通用数据保护指令》(2016)第(2)条：“在处理自然人个人数据方面保护自然人的原则和规则，无论其国籍或居住地如何，都应尊重其基本权利和自由，特别是保护个人数据的权利。”

参考文献